EP1770940B1

EP1770940B1 - Verfahren und Vorrichtung zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung und einem Netzwerk

Info

Publication number: EP1770940B1
Application number: EP05109127A
Authority: EP
Inventors: Efstathios Ioannidis
Original assignee: Alcyone Holding SA
Current assignee: Athonet SRL
Priority date: 2005-09-30
Filing date: 2005-09-30
Publication date: 2010-10-06
Anticipated expiration: 2025-09-30
Also published as: EP1770940A1; DE602005024000D1; ATE484143T1

Claims

Verfahren zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung (100) und einem Netzwerk (108, 206) durch ein Zugangsnetzwerk (106), wobei die mobile Vorrichtung (100) über einen Heim-Handybetreiber subskribiert wird, wobei das Zugangsnetzwerk einen Zugangspunkt (209) zum Verbinden der mobilen Vorrichtung mit dem Zugangsnetzwerk, einen Zugangsserver (105) zum Vorsehen des Zugangs zum Netzwerk, und ein Gateway (200) zum Authentisieren der mobilen Vorrichtung und zum Instruieren des Zugangsservers umfasst, um den Datenverkehr zwischen der mobilen Vorrichtung (100) und dem Netzwerk zu erlauben, wobei das Verfahren Folgendes aufweist:
- Übertragen einer Zugangsanfrage von der mobilen Vorrichtung (100) zum Gateway (200), wobei die Zugangsanfrage Daten zur Identifizierung der mobilen Vorrichtung umfasst;

- Übertragen einer Authentisierungsaufforderung vom Gateway (200) zur mobilen Vorrichtung (100);

- Übertragen einer Antwort auf die Authentisierungsaufforderung von der mobilen Vorrichtung (100) zum Gateway (200);

- Bestimmen, ob die mobile Vorrichtung (100) autorisiert ist und, wenn die mobile Vorrichtung autorisiert ist:

- Übertragen einer Meldung der erfolgreichen Authentisierung vom Gateway (200) zur mobilen Vorrichtung (100); und

- Übertragen eines mobilen Vorrichtungsprofils inklusive der Art der Subskription und der Sicherheitsinformation mit einem Key vom Gateway (200) zum Zugangsserver (105).
Verfahren gemäß Anspruch 1, das bei der mobilen Vorrichtung (100) ferner Folgendes aufweist:
- Verschlüsseln der Daten unter Verwendung des Keys; und

- Übertragung der verschlüsselten Daten zum Zugangsserver (105).
Verfahren gemäß Anspruch 1 oder 2, das beim Zugangsserver (105) ferner Folgendes aufweist:
- Empfangen der Daten vom Netzwerk (108);

- Identifizieren, dass die Daten für die mobile Vorrichtung (100) unter Verwendung des mobilen Vorrichtungsprofils vorgesehen sind; und

- Weiterleiten der Daten an die mobile Vorrichtung.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Übertragen einer Anfrage zur Authentisierung der mobilen Vorrichtung (100) vom Gateway (200) zu einem lokalen Authentisierungsserver (103) im Zugangsnetzwerk (106), wobei die Anfrage Informationen zur Identifizierung der mobilen Vorrichtung und eines Heimnetzwerkes umfasst;

- Übertragen der Anfrage zur Authentisierung der mobilen Vorrichtung vom lokalen Authentisierungsserver zum Heim-Authentisierungsserver (110);

- Übertragen einer Anfrage zur Sicherheitsinformation zur Authentisierung der mobilen Vorrichtung vom Heim-Authentisierungsserver über einen Heim-Aufenthaltsregister-Proxy zum Heim-Aufenthaltsregister;

- Empfangen der Sicherheitsinformation zur Authentisierung der mobilen Vorrichtung beim Heim-Authentisierungsserver;

- Herleiten der Authentisierungsaufforderung von der Sicherheitsinformation beim Heim-Authentisierungsserver;

- Übertragen der Authentisierungsaufforderung vom Heim-Authentisierungsserver zum lokalen Authentisierungsserver; und

- Übertragen der Authentisierungsaufforderung vom lokalen Authentisierungsserver zum Gateway.
Verfahren gemäß Anspruch 4, wobei die Anfrage ferner Informationen zum Identifizieren des Gateways (200) umfasst.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Übertragen der Antwort auf die Authentisierungsaufforderung vom Gateway (200) zu einem lokalen Authentisierungsserver (103) im Zugangsnetzwerk (106);

- Übertragen der Antwort auf die Authentisierungsaufforderung vom lokalen Authentisierungsserver zum Heim-Authentisierungsserver (110);

- Vergleichen, beim Heim-Authentisierungsserver, der Antwort mit der Sicherheitsinformation zum Authentisieren der mobilen Vorrichtung;

- Bestimmen, beim Heim-Authentisierungsserver, ob die Antwort mit der Sicherheitsinformation übereinstimmt; und

- wenn die Antwort mit der Sicherheitsinformation übereinstimmt, Übertragen einer erfolgreichen Nachricht, die die erfolgreiche Authentisierung, die Sicherheitsinformation und das mobile Vorrichtungsprofil meldet, oder, wenn die Antwort nicht mit der Sicherheitsinformation übereinstimmt, Übertragen einer Fehlermeldung, die die nicht erfolgreiche Authentisierung vom Heim-Authentisierungsserver zum lokalen Authentisierungsserver meldet; und

- Übertragen der erfolgreichen Meldung, Sicherheitsinformation und mobilen Vorrichtungsprofil, oder der Fehlermeldung vom lokalen Authentisierungsserver zum Gateway.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Ausführen einer Internet Protocol Security (IPsec) Internet Key Exchange (I-KE) Transaktion zwischen der mobilen Vorrichtung (100) und dem Zugangsserver (105) zum Aufbau einer sicheren Verbindung.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Erhalt der Antwort auf die Authentisierungsaufforderung bei der mobilen Vorrichtung (100), die eine Subscriber Identity Module (SIM) Karte oder 3G Universal Subscriber Identity Module (USIM) Karte verwendet.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Verwenden des Extensible Authentication Protocol für GSM Subscriber Identification Module (EAP-SIM) und/oder des Extensible Authentication Protokol für 3. Generation-Authentisierung und Key Agreement (EAP-AKA), um die Authentisierungsinformation zwischen der mobilen Vorrichtung (100) und einem Heim-Authentisierungsserver (110) zu transportieren.
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Erzeugen, beim Heim-Authentisierungsserver und bei der mobilen Vorrichtung, von mindestens einem Master Key von einem Root Key zum Aufweisen in der Sicherheitsinformation, um die Verbindung zwischen der mobilen Vorrichtung und dem Zugangsserver sicherzustellen, und für den oder jeden Master Key eine optionale Lebensdauer für den Master Key und einen optionalen Algorithmus sicherzustellen.
Verfahren gemäß Anspruch 10, das ferner Folgendes aufweist:
- Erzeugen eines Keys beim Heim-Authentisierungsserver, um die Verbindung zwischen dem Zugangsserver (105) und einem Zugangsnetzwerk-Gateway (202) sicherzustellen, um den Zugangsserver mit dem Netzwerk zu verbinden.
Verfahren gemäß Anspruch 11, das ferner Folgendes aufweist:
- Übertragen des Keys, um die Verbindung zwischen dem Zugangsserver (105) und dem Zugangsnetzwerk-Gateway (202) zum Zugangsnetzwerk-Gateway sicherzustellen.
Verfahren gemäß einem der vorhergehenden Ansprüche 10 bis 12, das Folgendes aufweist:
- Erzeugen eines Keys, um die Verbindung zwischen dem Zugangsserver (105) und einem Anwendungsserver sicherzustellen.
Verfahren gemäß einem der Ansprüche 10 bis 13, das ferner Folgendes aufweist:
- Erzeugen eines anwendungsspezifischen Keys.
Verfahren gemäß Anspruch 14, das ferner Folgendes aufweist:
- Übertragen des anwendungsspezifischen Keys vom Heim-Authentisierungsserver zum Anwendungsserver.
Verfahren gemäß Anspruch 14 oder 15, wobei der anwendungsspezifische Key verwendet wird, um eine sichere Verbindung zwischen der mobilen Vorrichtung und dem Anwendungsserver aufzubauen.
Verfahren gemäß Anspruch 15 oder 16, wobei der Anwendungsserver einen Session Initiation Protocol (SIP)-Server aufweist.
Verfahren gemäß Anspruch 15 oder 16, das Folgendes aufweist:
- Erzeugen des anwendungsspezifischen Keys beim Heim-Authentisierungsserver und Übertragen des anwendungsspezifischen Keys zum Anwendungsserver, optional über einen lokalen Authentisierungsserver (103).
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Aufbauen der sicheren Verbindung zwischen der mobilen Vorrichtung (100) und dem Zugangsserver (105), drahtlosen Gateway (203), und/oder Netzwerk (108) unter Verwendung der Sicherheitsinformation.
Verfahren gemäß Anspruch 19, das Folgendes aufweist:
- Aufbauen der sicheren Verbindung unter Verwendung des Internet Protocol Security (IPsec) Internet Key Exchange (IKE)-Mechanismus.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Konfigurieren eines sicheren IP-Tunnels durch den Zugangsserver (105) unter Verwendung des mobilen Anschlussprofils zwischen dem Zugangsserver (105) und einem Zugangsnetzwerk-Gateway (202) zum Verbinden des Zugangsservers mit dem Netzwerk.
Verfahren gemäß Anspruch 21, das Folgendes aufweist:
- Implementieren des sicheren IP-Tunnels unter Verwendung der Internet Protocol Security (IPsec) und/oder Layer 2 Tunneling Protocol (L2TP).
Verfahren gemäß einem vorhergehenden Anspruch, das ferner Folgendes aufweist:
- Erzeugen eines anwendungsspezifischen Sicherheitskeys zum Aufbauen der sicheren Verbindung durch Ausführen einer Hash Function auf dem Master Key und einer Anwendungs-Namensfolge.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes umfasst:
- wenn die mobile Vorrichtung (100) autorisiert ist:

- Übertragen einer Information vom Gateway (200) zum Zugangspunkt (209) oder Zugangsserver (105), um die mobile Vorrichtung (100) zu identifizieren, und einer Instruktion, um den Service für die mobile Vorrichtung vorzusehen.
Verfahren gemäß Anspruch 24, das Folgendes aufweist:
- Übertragen der Sicherheitsinformation vom Gateway (200) zum Zugangspunkt (209) oder Zugangsserver (105) zum Aufbauen der sicheren Verbindung zwischen der mobilen Vorrichtung (100) und dem Zugangspunkt oder Zugangsserver.
Verfahren gemäß einem vorhergehenden Anspruch, wobei das mobile Vorrichtungsprofil Folgendes aufweist:
- optional, Serviceniveauinformation zum Melden eines Serviceniveaus;

- optional, Netzwerkadressinformation für die mobile Vorrichtung (100);

- optional, lokale Serviceinformation zum Melden, ob es der mobilen Vorrichtung (100) erlaubt ist, um die lokalen Services innerhalb des Zugangsnetzwerks (106) zu nutzen;

- optional, globale Serviceinformation zum Melden der Services, die die mobile Vorrichtung (100) benutzen darf;

- optional, Zeitinformation zum Melden der Zeitdauer, während der die mobile Vorrichtung (100) Zugang zum Zugangsnetzwerk (106) haben darf;

- optional, Datendurchsatz oder Mengeninformation zum Melden der Datenrate oder Datenmenge, welche der mobilen Vorrichtung (100) das Senden und Empfangen erlaubt, während sie sich im Zugangsnetzwerk (106) befindet;

- optional, Neuautorisierung der Frequenzinformation zum Melden der Frequenz, mit der sich die mobile Vorrichtung mit einem Home-Authentisierungsserver (110) neu authentisieren soll;

- optional, Tunnel-Endpunkt und Verkehrstypinformation für verschiedene Verkehrsarten zum Melden, ob Datenpakete, die zwischen der mobilen Vorrichtung und dem Netzwerk übertragen werden, getunnelt werden sollen, und wenn das so ist, Melden von zumindest der IP- und Anschlussadressen, Tunnelart und Sicherheitsinformation;

- optional, lokale Sicherheitsinformation zum Melden, ob die mobile Vorrichtung eine sichere lokale Verbindung erfordert, die zwischen ihr selbst und dem Zugangsserver aufzubauen ist.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Sperren der mobilen Vorrichtung (100) von der Nutzung der Services durch den Zugangsserver (105), so dass ihr kein Zugang erlaubt ist, und Versehen der mobilen Vorrichtung mit einer subskribierten Servicequalität in Abhängigkeit von der mobilen Vorrichtungsprofilinformation.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Bestimmen durch den Zugangsserver (105), wie der Verkehr zu steuern ist, und ob ein sicherer IP-Tunnel zum Zugangsnetzwerk-Gateway (202) zum Verbinden des Zugangsservers mit dem Netzwerk in Abhängigkeit vom Tunnelendpunkt und der Verkehrsartinformation, die das mobile Vorrichtungsprofil enthält, aufgebaut werden muss.
Verfahren gemäß Anspruch 28, das Folgendes aufweist:
- Aufbauen eines sicheren IP-Tunnel zu jedem Zugangsnetzwerk-Gateway in den jeweiligen Heim-Netzwerken durch den Zugangsserver (105).
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Identifizieren der mobilen Vorrichtung (100) unter Verwendung einer International Mobile Subscriber Identity (IMSI);

- Identifizieren der mobilen Vorrichtung unter Verwendung einer mobilen Subscriber Integrated Services Digital Network (MSISDN)-Nummer;

- Identifizieren der mobilen Vorrichtung unter Verwendung eines Network Address Identifier (NAI); und/oder

- Identifizieren der mobilen Vorrichtung unter Verwendung einer IPv4- und/oder IPv6-Adresse und/oder Medium Access Control (MAC)-Adresse.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Identifizieren eines Heim-Netzwerkes der mobilen Vorrichtung (100) unter Verwendung einer International Mobile Subscriber Identity (IMSI), einer mobilen Subscriber Integrated Services Digital Network (MSISDN)-Nummer oder eines Netzwerkadressidentifizierers; und
Identifizieren einer Netzwerkadresse des Heim-Authentisierungsservers unter Verwendung des Heim-Netzwerkes.
Verfahren gemäß einem vorhergehenden Anspruch, das Folgendes aufweist:
- Bestimmen durch den Zugangsserver (105), ob das mobile Vorrichtungsprofil spezifiziert, dass die Daten über einen Tunnel zu einem Unternehmensnetz oder einem Zugangsnetzwerk-Gateway (202) übertragen werden sollen,

- wobei der Zugangsserver (105) eine IP-Adresse der mobilen Vorrichtung (100) von einem Adressenpool zuweist, der zum Unternehmensnetzwerk oder einem mobilen Heim-Netzwerk gehört.
Verfahren gemäß einem vorhergehenden Anspruch, wobei die Sicherheitsinformation einen Sicherheitskey, eine Lebensdauer und einen mobilen Vorrichtungsidentifizierer umfasst.
Zugangsnetzwerk (106), das Folgendes aufweist:
- einen Zugangspunkt (209) zum Verbinden einer mobilen Vorrichtung (100);

- einen Zugangsserver (105) zum Vorsehen des Zugangs zu einem weiteren Netzwerk (108);

- einen Authentisierungs-Proxy (103) zum Erhalten der Authentisierungsinformation von einem Heim-Authentisierungsserver; und

- ein Gateway (200), um die mobile Vorrichtung (100) zu authentisieren, um den Zugangsserver (105) zu instruieren, um den Datenverkehr zwischen der mobilen Vorrichtung und dem Netzwerk zu erlauben und ein mobiles Vorrichtungsprofil und die Sicherheitsinformation mit einem Key zum Zugangsserver (105) zu übertragen.
Verfahren gemäß einem der Ansprüche 1 bis 33 oder Netzwerk gemäß Anspruch 34, wobei das Gateway (200) und der Zugangspunkt (209) einheitlich sind.
Verfahren gemäß einem der Ansprüche 1 bis 33 oder Netzwerk gemäß Anspruch 34, wobei der Zugangsserver (105) und der Zugangspunkt (209) einheitlich sind.
Verfahren gemäß einem der Ansprüche 1 bis 33 oder Netzwerk gemäß Anspruch 34, wobei ein lokaler Authentisierungsserver (103) und das drahtlose Gateway (203) einheitlich sind.
Verfahren gemäß einem der Ansprüche 1 bis 33 oder Netzwerk gemäß Anspruch 34, wobei der Zugangsserver (105) und ein Zugangsnetzwerks-Gateway (203) zwischen dem Zugangsserver und dem Netzwerk (108, 296) einheitlich sind.
Verfahren gemäß einem der Ansprüche 1 bis 33 oder Netzwerk gemäß Anspruch 34, wobei:
- der Zugangsnetzwerk ein drahtloses Netzwerk ist;

- die mobile Vorrichtung eine drahtlose Anwenderausrüstung ist;

- der Zugangspunkt ein drahtloser Zugangspunkt ist; und

- der Zugangsserver ein drahtloser Zugangsserver ist und

- wobei der Zugangsnetzwerk, mobile Vorrichtung, Zugangspunkt und Zugangsserver das Internet Protocol unterstützen.
Verfahren oder Netzwerk gemäß Anspruch 39, wobei:
- der Zugangsnetzwerk (106) ein drahtloses Local Area Network (WLAN) ist;

- die mobile Vorrichtung (100) eine WLAN-Anwenderausrüstung ist;

- der Zugangspunkt (209) ein WLAN-Zugangspunkt ist; und

- der Zugangsserver (105) ein WLAN-Zugangsserver ist.
Verfahren oder Netzwerk gemäß Anspruch 39, wobei:
- der Zugangsnetzwerk ein Orthogonal Frequency Division Multiplexing (UFDM)-Netzwerk ist;

- die mobile Vorrichtung eine OFDM-Anwenderausrüstung ist;

- der Zugangspunkt ein OFMD-Zugangspunkt ist; und

- der Zugangsserver ein OFDM-Zugangsserver ist.
Gateway (200) zur Verwendung in einem Zugangsnetzwerk (106) mit einem Zugangspunkt (209), Zugangsserver (105) und Authentisierungs-Proxy (103), wobei das Gateway die Authentisierungsinformation mit einem Heim-Authentisierungsserver (203) über den lokalen Authentisierungs-Proxy austauscht, um die mobile Vorrichtung (100) zu authentisieren und den Zugangsserver (105) zu instruieren, den Datenverkehr zu und von der mobilen Vorrichtung (100) zu erlauben und ein mobiles Vorrichtungsprofil und die Sicherheitsinformation mit einem Key zum Zugangsserver (105) zu übertragen.
Gateway gemäß Anspruch 42, um eine Aufforderung gemäß des Extensible Authentication Protocols (EAP) zu übertragen.
Gateway gemäß Anspruch 42 oder 43, um den Zugangsserver zu instruieren, wie der Datenverkehr zu und von der mobilen Vorrichtung zu steuern ist.